Semalt Expert –如何与Petya,NotPetya,GoldenEye和Petrwrp作战?

Forcepoint安全实验室将其称为Petya爆发,但其他供应商正在为其使用替代词和其他名称。好消息是,此示例已通过鸭子测试,现在可以在磁盘上加密文件而无需更改其扩展名。您也可以尝试加密主启动记录,并检查其在计算机设备上的后效应。

支付Petya的赎金要求

伊戈尔Gamanenko,的客户成功经理Semalt ,建议你不要不惜任何代价支付赎金。

最好停用您的电子邮件ID,而不是向黑客或攻击者支付赎金。他们的付款机制通常是脆弱且不合法的。如果您要通过BitCoin钱包支付赎金,攻击者可能会在不通知您的情况下从您的帐户中窃取更多钱。

如今,无论解密工具将在未来几个月内可用,获取未加密文件都变得非常困难。感染媒介和保护声明Microsoft声称,最初的感染供应商具有各种恶意代码和不合法的软件更新。在这种情况下,该卖方可能无法更好地检测到该问题。

Petya的当前迭代旨在避免电子邮件安全和Web安全网关已保存的通信向量。已使用不同的凭证分析了许多样本,以找出问题的解决方案。

WMIC和PSEXEC命令的组合比SMBv1漏洞要好得多。到目前为止,尚不清楚信任第三方网络的组织是否会理解其他组织的规则和规定。

因此,可以说Petya为Forcepoint安全实验室的研究人员带来了惊喜。截至2017年6月,Forcepoint NGFW可以检测并阻止攻击者和黑客利用SMB的攻击手段。

Deja vu:Petya勒索软件和SMB传播能力

Petya爆发是在2017年6月的第四周记录的。它对多家国际公司产生了重大影响,新闻网站称这种影响是持久的。 Forcepoint安全实验室已经分析并审查了与爆发相关的不同样本。看来Forcepoint安全实验室的报告还没有完全准备好,该公司需要更多时间才能得出一些结论。因此,在加密过程和恶意软件的运行之间将存在明显的延迟。

鉴于病毒和恶意软件会重新启动计算机,因此可能需要几天的时间才能显示出最终结果。

结论与建议

在现阶段很难得出结论和评估暴发的深远影响。但是,这似乎是部署自蔓延勒索软件的最终尝试。到目前为止,Forcepoint安全实验室的目标是继续对可能的威胁进行研究。该公司可能很快会得出最终结果,但需要大量时间。一旦Forcepoint安全实验室介绍了结果,就将揭示SMBvi漏洞的使用。您应该确保在计算机系统上安装了安全更新。根据Microsoft的策略,客户端应在每个Windows系统上禁用SMBv1,因为这会对系统的功能和性能产生负面影响。